Докато се ровех из мрежата изведнъж замръзнах. Следният hack на Gmail се е случвал на хора и е трудно да се усетиш, че са ти го направили.
Нещата започват по следният начин: Влизате си в Gmail-а и както много хора си го оставяте отворен. След това се мотаете из мрежата през други табове, но някой от по-сенчестите сайтове, които посещавате, пуска код, който изпраща съобщение на Gmail. Тъй като вие сте влезли от същият browser, google си мисли, че вие пращате съобщението. Инструкцията е да се създаде филтър, който да препраща определени съобщения на чужд мейл. Филтрите по принцип са много мощна функция, но тук тя се използва за да ви откраднат всички пароли, сметки и въобще каквато и да е лична информация и кореспонденция.
Виждате как това може значително да ви навреди. Не съм се запознал в подробности с начина на хакване, но имам идея как трябва да стане. Въобще не ми беше хрумвало, че това е възможно, а надявам се и на много други. Сега ви препоръчвам да си отворите пощата и да си прегледате филтрите. Прави се от Settings -> Filters и търсете дали има някой, който препраща поща. В статиите на David Airey и gnucitizen.org може да получите пълна информация по въпроса.
Как може да се избегне нещо такова? Единият начин е да се избягват сенчести сайтове. Ако ви е трудно да го правите, трябва да сте малко по-параноични за сигурността си. Второто зависи от browser-ите. Трябва да направят опция, с която да не се позволява cookie-тата, създадени от един таб, да бъдат достъпни за друг. Това може да спре този конкретен хак. Третият вариант е да не използвате Gmail в browser. За мен този случай е поредният довод в полза на мейл клиентите – Thunderbird в моя случай. Все пак това означава, че не трябва да сте логнати съвсем в Google, което няма как да стане. Аз примерно редовно вися в GG Reader. Дори ми е начална страница. Естествено най-доброто решение е Google да направи нещо по въпроса.
[tags]gmail, hack, хакнат, защита, сигурност, уязвимост, табове[/tags]
това е преодоляно. Още преди време, когато се показа, беше направена редакция в кода на услугата, за да се предотврати кражба на информация, която, естествено, Google искат само за себе си 😉
Не го знаех това. Потърсих инфо, но изглежда решаването на проблемът е по-малка сензация. Все пак смятам, че съветите ми долу за сигурността пак важат.
Сигурно пропускам нещо, ама как точно badsite.com ще вземе cookie-то на google.com че да POST-ва към валидна сесия?
Как точно е fix-нато? Такова нещо може да стане ако има bug в браузъра, ама тогава вероято проблема няма връзка с gmail.
В Gmail беше проблемът, да. Съветите за сигурност, разбира се, си важат и са полезни – малко презастраховане никога не е излишно.
Доколкото разбирам е било бъг в системата на Gmail. Щом са го зашили обаче няма проблем.